BTC/HKD+0.48%
ETH/HKD-0.17%
LTC/HKD+0.16%
DOT/HKD-0.46%
ADA/HKD-0.55%
SOL/HKD-0.53%
XRP/HKD-0.19%
DOGE/US+0.26%據消息,去中心化交易平臺DODO的wCRES/USDTV2資金池被黑客攻擊,轉走價值近98萬美元的wCRES和近114萬美元的USDT。DODO表示,團隊已下線相關資金池建池入口,該攻擊僅影響DODOV2眾籌池,除V2眾籌池之外,其他資金池均安全;團隊正在與安全公司合作調查,并努力挽回部分資金。更多后續消息請關注DODO官方社群公告。
慢霧安全團隊在第一時間跟進并分析,下面將細節分析給大家參考。
攻擊細節分析
通過查看本次攻擊交易,我們可以發現整個攻擊過程非常簡單。攻擊者先將FDO和FUSDT轉入wCRES/USDT資金池中,然后通過資金池合約的flashLoan函數借出wCRES和USDT代幣,并對資金池合約進行初始化操作。
數據:處于盈利狀態的ETH地址數再次創下11個月高點:金色財經報道,據Glassnode數據顯示,處于盈利狀態中的ETH地址數量達到64,100,532個,再次創下11個月內的最高點,上一次創下高點為3月24日。[2023/4/1 13:39:28]
為何存入FDO和FUSDT代幣卻能成功借出wCRES和USDT,并且初始化資金池合約呢?是因為資金池的閃電貸功能有漏洞嗎?
接下來我們對flashLoan函數進行詳細分析:
通過分析具體代碼我們可以發現,在進行閃電貸時會先通過_transferBaseOut和_transferQuoteOut函數將資金轉出,然后通過DVMFlashLoanCall函數進行具體外部邏輯調用,最后再對合約的資金進行檢查。可以發現這是正常閃電貸功能,那么問題只能出在閃電貸時對外部邏輯的執行上。
Immutable X協議上線NFT報價功能:12月2日消息,以太坊二層擴容方案Immutable X宣布正式上線NFT報價(Offers)功能,允許NFT買家對資產提出報價,賣家同意買家提出的價格。Offers的推出將調節當前NFT市場,為Immutable X支持的NFT市場增加更多的流動性。目前,Offers處于測試階段,存在部分限制,測試期結束后將全面推出。[2022/12/2 21:17:44]
通過分析閃電貸的外部邏輯調用,可以發現攻擊者調用了wCRES/USDT資金池合約的init函數,并傳入了FDO地址和FUSDT地址對資金池合約進行了初始化操作。
美國滑板巨星Tony Hawk在Sandbox推出虛擬滑板公園和3D頭像集合:金色財經消息,美國滑板巨星、極限運動員兼企業家Tony Hawk周三宣布將在以太坊游戲The Sandbox中創建一個滑板公園和3D頭像集合,該滑板公園將跨越游戲土地的36個地塊(Land),使其成為“有史以來最大的虛擬滑板公園”。此次發行是與Autograph合作推出的,Autograph是一個由美國NFL球星Tom Brady創立的NFT平臺,Hawk去年12月在該平臺上發布了他的第一個NFT系列。
Hawk表示,“我一生都是新技術的粉絲,從第一款具有CGI功能的視頻游戲和家用電腦開始。所以我對元宇宙很著迷,很高興能將我們的文化帶入The Sandbox的虛擬世界中”。[2022/7/14 2:11:54]
到這里我們就可以發現資金池合約居然可以被重新初始化。為了一探究竟,接下來我們對初始化函數進行具體的分析:
通過具體的代碼我們可以發現,資金池合約的初始化函數并沒有任何鑒權以及防止重復調用初始化的邏輯,這將導致任何人都可以對資金池合約的初始化函數進行調用并重新初始化合約。至此,我們可以得出本次攻擊的完整攻擊流程。
攻擊流程
1、攻擊者先創建FDO和FUSDT兩個代幣合約,然后向wCRES/USDT資金池存入FDO和FUSDT代幣。
2、接下來攻擊者調用wCRES/USDT資金池合約的flashLoan函數進行閃電貸,借出資金池中的wCRES與USDT代幣。
3、由于wCRES/USDT資金池合約的init函數沒有任何鑒權以及防止重復調用初始化的邏輯,攻擊者通過閃電貸的外部邏輯執行功能調用了wCRES/USDT資金池合約的初始化函數,將資金池合約的代幣對由wCRES/USDT替換為FDO/FUSDT。
4、由于資金池代幣對被替換為FDO/FUSDT且攻擊者在攻擊開始時就將?FDO和FUSDT代幣存入了資金池合約,因最終通過了閃電貸資金歸還的余額檢查而獲利。
總結
本次攻擊發生的主要原因在于資金池合約初始化函數沒有任何鑒權以及防止重復調用初始化的限制,導致攻擊者利用閃電貸將真幣借出,然后通過重新對合約初始化將資金池代幣對替換為攻擊者創建的假幣,從而繞過閃電貸資金歸還檢查將真幣收入囊中。
參考攻擊交易:
https://cn.etherscan.com/tx/0x395675b56370a9f5fe8b32badfa80043f5291443bd6c8273900476880fb5221e
南寧不少人通過廣西沖發發信息科技有限公司投資購買“比特幣”,該公司承諾每天返利2%。然而,投資者僅僅獲得起初幾天的返利收益,之后該公司就不再返利,隨后關門,法定代表人不接電話,公司推薦使用的Ap.
1900/1/1 0:00:00彭博資訊的一位頂級商品策略分析師MikeMcGlone,在推特上分享了他的分析數據,指出比特幣取代黃金作為投資者投資組合中的價值儲存的步伐正在加快.
1900/1/1 0:00:00昨日給出的簡評,建議反彈高空為主。建議1830-1840附近分批空,目標1780-1750,止損1870,小時級別來看,昨日上午以太觸底1758一線反彈,一路震蕩上升,午夜遇阻1868一線回調,
1900/1/1 0:00:00多言不可與謀,多動不可與久處,交易與其沖動,還不如一動不動!大家好,我是席幕楓。心存陽光必有詩與遠方,認識我老席何懼再遇荒涼?席幕楓:3.9以太坊午夜行情分析以太坊,早盤開盤強勢走高,觸高185.
1900/1/1 0:00:00金色財經報道,據IRISnet官方消息,IRISnet開發團隊計劃于3月底左右上線CoinswapWeb應用,提供基于IRISnet主網AMM模塊的去中心化交易功能并開啟流動性挖礦等活動.
1900/1/1 0:00:001.關注公眾號:道說區塊鏈2.后臺回復:電子書3.獲取《DeFi實戰投資方法論》電子書近日,某位在圈內有一定話語權的人士說了下面這段話:“盡管貌似很火,但我不看好NFT,個人絕不涉及NFT.
1900/1/1 0:00:00
加密貨幣交易所
